ich brauche mal Eure Hilfe und einige Tipps, wie man sich am geschicktesten verhält.
Ich bin interne Datenschutzbeauftragte eines Industrieunternehmens mit einem Betriebsrat, der sich offensichtlich alles erlauben kann.
Egal, welche Ideen ich versuche umzusetzen, mir werden Steine in den Weg gelegt (und zwar richtig dicke Steine, Felsen).
Beispielsweise wollte ich Aufkleber auf Whiteboards anbringen mit dem Hinweis, dies nach Benutzung zu putzen und keine vertraulichen Daten zu hinterlassen (darauf hatte ich schon in jeder Schulung hingewiesen, in Newslettern dran erinnert und im Sharepoint vermerkt). Die Aufkleber musste ich aber wieder entfernen, da sie vom Betriebsrat als eine neue Regelung angesehen wurden und ich hatte diese “neue” Regelung vorher nicht mit ihm besprochen bzw. mitbestimmen lassen. Jeder Versuch, dies noch nachträchlich zu verhandeln, wurde abgeblockt - ich wollte die Zusammenarbeit nicht weiter gefährden und habe die Schilder entfernt.
Letzte Woche habe ich eine Vorankündigung zu einem zweiten Datenschutz-Wettbewerb an die Mitarbeiter versendet. Der erste Wettbewerb war im letzten Jahr und vom Betriebsrat akzeptiert. Dieses Jahr flog mir die Mail um die Ohren. Der Wettbewerb (natürlich mit der Geschäftsleitung abgestimmt) wird mir vom Betriebsrat verboten. Ich hätte vor der Vorankündigung auf den Betriebsrat zugehen müssen. Ich habe sein Mitbestimmungsrecht verletzt. Mir war tatsächlich nicht klar, dass ein Datenschutz-Wettbewerb zu “betrieblichem Vorschlagswesen” zählt (ja, kann man natürlich so sehen) und dass er wieder neu akzeptiert werden muss. Unser betriebliches Vorschlagswesen-Tool wird auch nicht jedes Jahr neu verhandelt. Sofort habe ich freundlich alle Informationen und Dokumente hingeschickt und angeboten, dies nachzuholen, erhielt darauf hin aber nur die Aussage, dass ich abermals (ich nehme an, dass die Whiteboard-Aufkleber mitgezählt haben) das Mitbestimmungsrecht des Betriebsrates verletzte habe. “Außerdem sollte die IT (ich bin Mitarbeiterin der IT-Abteilung) sich sowieso besser um die Teams-Probleme und ähnliches kümmern, als die Mitarbeiter mit Umfragen zu belästigen!” (Ich hatte jedoch mit Microsoft Teams noch nie etwas zu tun). Ich fragte (immer noch freundlich) nach, was ich jetzt tun könnte, um den Wettbewerb starten zu dürfen, was noch fehlt und welche Fragen noch offen wären. Ein Wettbewerb ist doch nicht dafür geeignet neue Regeln zu erschaffen oder Mitarbeiter zu überwachen, sondern Mitarbeiter könnten freiwillig Ideen zum Datenschutz eingeben und die Gewinner erhalten einen Preis. Im letzten Jahr ist das gut angekommen.
Auf die Bitte mir mitzuteilen, warum konkret der Wettbewerb nicht starten kann, was das eigentliche Problem sei, wurde mir dann noch mitgeteilt, dass der Betriebsrat mir keine Rechenschaft schuldet und ich eigentlich auch gar kein Verhandlungspartner für ihn sei. Ich bin nun ein wenig ratlos…
Da ich mit diesen Aktionen das Datenschutz-Bewußtsein in unserer Firma hochhalten will, sind mir diese Sachen wichtig. Hat jemand von Euch Argumente oder Irgendwas, dass mir helfen könnte?
Ja, soetwas ähnliches habe ich auch schon erlebt. Gerade wenn in größeren (Industrie-) Unternehmen auch noch Gewerkschaften im Spiel sind, vertritt der Betriebsrat oft nicht mehr die Belange der Mitarbeiter, sondern die der Gewerkschaft. Da geht es dann oft auch um Aufsichtsratssitze und Wiederwahl. Und dann wundern die sich, warum ihnen die Mitglieder davonlaufen. Finde ich schade, weil es eigentlich eine gute Sache ist.
Vielleicht sollte man auf den Aufkleber schreiben “Bitte beachten Sie die Datenschutz-Gesetze!” - Das ist definitiv keine “neue Regel”, sondern Gesetz. Was sollen die dagegen noch sagen?
Und vielleicht mal mit der Geschäftsleitung reden, ob der Datenschutzbeauftragte nicht besser außerhalb der IT angesiedelt wäre (z. B. Compliance-Bereich), um solche “Mißverständnisse” zu verhindern. Das kenne ich auch: Unbedarfte denken bei Datenschutz dann, dass man die Daten schützt, wenn man in der IT ist.
Den richtigen Ansatz habe ich schon herausgelesen:
Wie soll ich es denn bitte richtig machen?
Nicht der richtige Ansprechpartner.
Also sollte der Betriebsrat sagen, wie er solche seiner Meinung nach mitbestimmungspflichtigen Aktivitäten eingegleist haben möchte.
Als DSB kann es stressfreier sein, jedes Vorhaben zunächst dem Arbeitgeber mitzuteilen und über diesen beim Betriebsrat abzustimmen. Evtl. auf die Notwendigkeit hinweisen (Pflichten des Verantwortlichen, Rechenschaftspflicht, Eignung technischer und organisatorischer Maßnahmen, Sensibilisierung, Weisungen, 20 Millionen…)
D., der jetzt nicht vorschlälgt, den Betriebsrat nach seinem Beitrag zum Verzeichnis von Verarbeitungstätigkeiten zu fragen. Wie bei der Betriebsratarbeit mit personenbezogenen Daten umgegangen wird. Wo die BR-Daten liegen und ob alles schön zugangsbeschränkt bzw. abgeschlossen ist. Wie seine Speicherfristen sind. Wer dort alles Bewerberdaten bekommt und ob sie überall rechtzeitig gelöscht werden. Welcher Termin für ein Datenschutz-Audit passen würde.
Mit Berufung auf seine Unabhängigkeit muss der Betriebsrat seine Datenverarbeitungsverfahren dem Datenschutzbeauftragten nicht melden und Kontrollen durch den Datenschutzbeauftragten nicht zulassen. Der Datenschutzbeauftragte besitzt seinerseits (weil verlängerter Arm der Geschäftsleitung) keinerlei Kontrollbefugnisse beim Betriebsrat, die Geschäftsleitung ist aber für die Einhaltung des Datenschutzes im gesamten Unternehmen, einschließlich Betriebsrat, verantwortlich.
Diese unbefriedigende Situation hat das BAG auch erkannt. Allerdings sieht das Gericht angesichts der detaillierten Regelungen des BDSG keinen ausreichenden Auslegungsspielraum für die Begründung eines Kontrollrechts des betrieblichen Datenschutzbeauftragten beim Betriebsrat. Es hält aber gesetzliche Regelungen für denkbar, die ein derartiges Kontrollrecht durch den betrieblichen Datenschutzbeauftragten zulassen könnten.
Welche gesetzlichen Regelungen könnten das sein? Vielleicht könnte man mit dieser Erwähnung eine Zusammenarbeit anregen…
Es ist bedauerlich, dass das Management hier nicht gestaltend oder moderierend eingreift, wenngleich das Management Dir gegenüber den Wettbewerb abgesegnet hat.
Als Außenstehende/r hätte man sich auch folgenden Verlauf der Ereignisse vorstellen können:
DSB einigt sich bzgl. Wettbewerb mit dem Management
Management nimmt den Vorschlag an und ist der Auffassung, dass der Betriebsrat ein Mitbestimmungsrecht hat und beauftragt die Personalabteilung, eine entsprechende Vorlage an den Betriebsrat zu erstellen (Alternativ: Management kommt zu dem Schluss, der Vorgang ist nicht mitbestimmungspflichtig und macht keine Vorlage.)
Betriebsrat reagiert wie von Dir geschildert
DSB informiert Management über das Ergebnis
Management legt dem Betriebsrat dar, warum der Vorgang aus seiner Sicht nicht mitbestimmungspflichtig ist, oder aber - falls Mitbestimmungspflicht bejaht wird - sorgt das Management dafür, dass die Beteiligung nachgeholt wird.
Und wenn der Betriebsrat sich am Wettbewerb stört, kann er das dem Management darlegen. Dann müssen sie sich eine sachliche Begründung ausdenken.
Ist doch ganz unterhaltsam, darüber nachzudenken, wie die wohl aussehen könnte.
Der Rest sollte keine Schlacht werden, die Du in Deiner Rolle als DSB zu schlagen hast. Du hast Initiative gezeigt, wahscheinlich würdest Du den Wettbewerb “bearbeiten”, z.B. bewerben und Organisationsarbeiten dazu übernehmen etc. Das sollte ausreichen. Geschäftsleitung und Verantwortlicher ist jemand anderes.
Wenn das Management / der Verantwortliche die Aktion nicht durchsetzen kann, dann ist der Wettbewerb nicht gewollt. So einfach ist das.
Deshalb empfehle ich, nicht mit dem Betriebsrat zu streiten, sondern das Management (sachlich) zu den aktuellen Hindernissen zu informieren und um Antwort zu bitten, ob der Wettbewerb nunmehr wegen der Bedenken/Kritik des Betriebsrats unterbleiben soll, oder ob das Management zunächst versuchen möchte, mit dem Betriebsrat eine Einigung zu erzielen.
Dann heißt es abwarten. Ggf. kommt es dann doch noch zu dem Wettbewerb. Und wenn er nicht gewollt ist, weil das Management sich nicht dafür verwendet: Haken dran, nach vorne schauen, auf andere Aktivitäten konzentrieren.
Datenschutz im Unternehmen findet statt, weil es dem Unternehmen nutzt - nicht, weil es der betrieblichen Datenschutzbeauftragen nutzt.
Betriebsräte und DSB sind keine natürlichen Gegner.
Vielen Dank für diese Antwort. Genau so werde ich alle entsprechenden Aktionen in Zukunft angehen. Dieser Wettbewerb ist zwar bei den Mitarbeitern letztes Jahr gut angekommen und das Management “sponsert” die Preise, aber wir hatten schon immer einen “starken” Betriebsrat , weshalb ich nun nicht mit Intervention vom MT gerechnet habe. Ich werde wohl einen Haken dran machen. Ich habe mich auch nie als Gegner des BR gesehen. Ich hätte einfach gerne die Gründe für dieses Verhalten erläutert bekommen (das hätte ich definitiv unterhaltsam gefunden) und bekam als Antwort: “Der Betriebsrat ist Dir keine Rechenschaft schuldig!” Ich gebe zu, das hat mich geärgert.
Du hast aber Recht! Ich werde nicht fürs Schlachten schlagen bezahlt - ich denke mir etwas anderes aus und werde das wie oben beschrieben angehen.
Vielen lieben Dank
Tara
ich kenne sowohl sehr entspannte alte Füchse in Betriebsräten, die sehr genau wissen, wie der Hase läuft und dann (leider) auch diejenigen, die § 2 Absatz1 BtrVG nicht ganz zu Ende lesen.
“Arbeitgeber und Betriebsrat arbeiten unter Beachtung der geltenden Tarifverträge vertrauensvoll und im Zusammenwirken mit den im Betrieb vertretenen Gewerkschaften und Arbeitgebervereinigungen zum Wohl der Arbeitnehmer und des Betriebs zusammen.”
Betrieb wird da leider immer wieder überlesen.
Es wird auch gerne auf § 79a BetrVG verwiesen, aber nur auf die BR-freundlichen Stellen.
Schade.
Ansonsten finde ich die Aussage bezüglich der Rechenschaft ziemlich traurig, weil sie zeigt, dass man sich lieber hinter solch platten Sätzen versteckt als vernünftig reden zu wollen.
Ich bin sehr vorsichtig damit, den DSB für irgendwas verantwortlich zu sehen. Am wenigsten für den Datenschutz oder für dessen Einhaltung (Verantwortung des… “Verantwortlichen”).
§ 72a S. 3 BetrVG: " Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften." Wobei der Arbeitgeber allein verantwortlich ist (S. 2). Und dem Betriebsrat Weisungen erteilen muss, wie er die Daten in seinem Bereich zu schützen hat. Das klingt erst mal ungewöhnlich, kann aus Datenschutzsicht aber egal sein. Dann müssen sich die Parteien eben so lang abstimmen, bis hinten Datenschutz rauskommt. Die Weisung kann auch so aussehen, dass der Arbeitgeber als Verantwortlicher einen Vorschlag des BR für einen BR-Eintrag zum Verzeichnis von Verarbeitungstätigkeiten akzeptiert, oder umgekehrt.
Der DSB “überwacht”, wie intensiv auchimmer. Etwa indem man sich zeigen lässt, wie sie’s machen; oder Vorfällen nachgeht. Über Betriebsrat-Interna hat er eine Verschwiegenheitspflicht (§ 79a BetrVG).
Art.39 Abs. 1 lit. b DSGVO: “Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen…”. D. h. nachfragen darf (muss) man schon dürfen. Ob auch der Betriebsrat die Vorschriften (u. a. § 79 Abs. 1, § 79a S. 1, § 99 Abs. 1 BetrVG) und ggf. “Strategien” (Weisungen, TOM) des Arbeitgebers einhält.
D., der seine gesetzlichen Aufgaben wahrnimmt und ansonsten nur berät. Verantworlich für das, was sie anstellen sollen bitte andere bleiben.
Hallo Ihr alle,
ein kleines Update: die GF hat nun mit dem Betriebsrat gesprochen und deutlich gemacht, dass sie hinter dem Wettbewerb steht. Der Betriebsrat ist nun zumindest bereit mit HR darüber zu sprechen. Sollte es zu einer Verschiebung kommen, soll ich die Infomail bzgl. dieser Verschiebung an die Mitarbeiter jedoch mit dem Betriebsrat abstimmen.
Eine Frage drängt sich mir nun noch auf. Ich schicke auch jedes Quartal einen gut aufbereiteten und verständlichen Newsletter mit Datenschutz- und IT-Sicherheitsthemen, aktuelle Bedrohungen und Entwicklungen im Datenschutzbereich an die Mitarbeiter. Wir haben zudem “OnePager” (mit kurzen Erinnerungen zum Datenschutz wie “Sperren Sie Ihren Bildschirm” oder “Nutzen Sie unbesiegbare Passwörter” - immer mit einem netten/lustigen Bildchen) auf Monitoren in der Kantine und Produktion, die kurz darauf aufmerksam machen, den Datenschutz einzuhalten (steter Tropfen…).
Da ich offensichtlich irgendwie in die Schusslinie des BR geraten bin, könnte der Betriebsrat auch diese Aktionen verhindern oder verlangen, dass ich diese Inhalte mit ihm abstimme? Bzgl. der OnePager mache ich mir schon Sorgen, seit das Schildchen bzgl. dem Säubern der Whiteboards verboten worden ist. Ich will hier aber nicht nachfragen und schlafende Hunde wecken. Wenn ich jeden Newsletter erst mit dem Betriebsrat abstimmen müsste (eventuell noch über MT und HR), dann wäre es ein “Old-Letter” bevor ich ihn dann tatsächlich verschicken darf. Für den Fall, dass nun jedoch etwas auf mich zukommt, würde ich gerne informiert sein. Hat der Betriebsrat vielleicht irgendein Recht dazu (ein Grund fällt mich nicht ein) oder fällt dies in meine Weisungsfreiheit bei der Ausübung meiner Pflichten? Ich habe jetzt so viele Gesetzestexte gelesen, aber wie man das alles auslegen kann… vielleicht hat damit jemand Erfahrung…?
Mitarbeiterbefragungen sind rechtlich gesehen was völlig anderes als Informationsangebote/Kampagnen/Newsletter.
Bei Mitarbeiterumfragen, die anonym erfolgen und keinerlei Rückschlüsse auf die Tätigkeiten des Ausfüllenden erlauben, wäre meiner Ansicht nach auch keine Mitbestimmung des Betriebsrates gegeben.
Dein angesprochener Newsletter gehört zu Deinen Aufgaben als Datenschutzbeauftragter, nämlich Schulung und Sensibilisierung der Beschäftigten. Mir würde jetzt ad hoc nichts einfallen, was dem entgegensprechen könnte.
Das scheint ein doch sehr übergriffiger BR zu sein. Du schreibst, Du musstest die Aufkleber entfernen. Auf wessen Anordnung? Der BR hat Dir gegenüber keine Weisungsbefugnis. Das kann eigentlich nur die GL - und die hat eigentlich nur dann Weisungsbefugnis, wenn Du nicht in der Rolle als DSB gehandelt hast (OK, Aufkleber auf Whiteboards kann man auch als Sachbeschädigung interpretieren). Frech ist der Hinweis, Du sollst Dich um Teams Probleme kümmern… Da wäre mal die GL gefragt, dem BR klarzumachen, dass diese beiden Rollen (IT und DSB) nichts miteinander zu tun haben. Das gilt ggf. ja auch für einen IT-ler der Teilzeit-BR wäre.
Und hier sind wir bei einem wichtigen Punkt. Es ist völlig normal, dass der DSB (auch Kraft seiner Fachkompetenz) in Betrieben Aufgaben abdeckt, die keine DSB Aufgaben, sondern eben Aufgaben/Verantwortlichkeit des Betriebes sind. Der DSB tut gut daran, sich bei jeder Aktion bewusst zu machen, ob er als DSB oder im Namen/Auftrag des Betriebes handelt (bei Dir wäre das dann die dritte Rolle, die faktisch tatsächlich im Compliance Bereich angesiedelt sein müsste), und dementsprechend vorgehen. Wenn die Aufkleber eine Maßnahme des Betriebes zur Sensibilisierung sind oder sogar klare Arbeitsanweisung zur Sicherstellung von vertraulichen Informationen sind, dann soll sich der BR mit dem Betrieb streiten, ob die wieder weg müssen. Allerdings sehe ich so oder so keinen Grund, weshalb der BR hierzu etwas zu sagen hat. Oder lässt er sich Aufkleber auf der Toilette ‘bitte Klobürste verwenden’, ‘Hände waschen vor dem Verlassen’ oder in den Büros ‘Fenster geschlossen halten solange Klimaanlage in Betrieb’ auch zur Genehmigung vorlegen?
Übrigens wurde dem BAG Urteil der Zahn gezogen, dass der BR völlig unabhängig ist. Nach der Novelle des BetriebsVerfG ist der BR eindeutig Teil des Betriebes. Und der DSB hat damit klar die Aufgabe und das Recht, auch den BR hinsichtlich Datenschutz zu auditieren. Allerdings ist er/sie zur Verschwiegenheit verpflichtet, Mängel werden also nicht an die GL berichtet.
Du bist leider Opfer einer Konstellation mit eine überzogen egozentrischen BRs, der sich etwas zu selbstgefällig in seiner Macht suhlt, und gleichzeitig einer offensichtlich recht schwachen GL, die sich nicht traut den BR in seine Schranken zu weisen. Da solltest Du Dich nicht daran aufreiben, sondern vielleicht wirklich Haken dran (aber Sachlage im Jahresbericht festhalten, insbesondere auch wer wem welche Anweisung gab), weitermachen. Aber ohne sich dem BR unterzuordnen: z.B.: Solange es keine ‘Lesepflicht’ gibt, geht den BR der beschriebene Newsletter nichts an.
Als DSB ist es “eigentlich” weder deine Aufgabe noch dein Recht so etwas zu tun.
Vielleicht hast du deinen Post aber auch nur so formuliert, wobei du in Wirklichkeit einem Verantwortlichen den Vorschlag machst die Aufkleber anzubringen.
Auf mich wirkt es rechthaberisch, beide Seiten. In (jedem) Kommunikationstraining wird geraten, zunächst die emotionale Basis wieder herzustellen. Wie wäre es mit einem “Restart” und einem Treffen beim BR?
Das stimmt so nicht. Den Hinweis, keine vertraulichen Daten zu hinterlassen, kann man durchaus als
“Unterrichtung und Beratung […] der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten” (Art. 39 DSGVO) verstehen, nämlich der Pflicht, keine vertraulichen Daten auf den Whiteboards zu hinterlassen. Wie die Mitarbeiter zu unterrichten sind, steht dem DSB frei, das kann durchaus auch in schriftlicher Form sein.
Der Betriebsrat setzt sich somit über die DSGVO hinweg, und damit über geltendes Gesetz.
das ist ein schmaler grat: ist es ein Hinweis oder eine Weisung?
Ich denke ein DSB schult auf Anforderung.
Und schlimmestenfalls wird 39(1)B so ausgelegt, das nur “Zuweisung von Zuständigkeiten” stattfinden darf.
Ich hatte das oben etwas abgekürzt. Es war so, dass der Vorschlag dieser Aufkleber von einem Mitarbeiter aus dem ersten Datenschutz-Wettbewerb kam. Dieser Vorschlag wurde vom MT prämiert und mir wurde der Auftrag erteilt (vom MT) mich darum zu kümmern. Eine Assistentin hatte den Vorschlag, einfach die Schildchen auszudrucken, zu laminieren und an das Whiteboard zu hängen. So haben wir es gemacht, die Schilder an die Assistentinnen verteilt, die sie in ihren Besprechungsräumen aufgehangen hatte.
Den Hinweis, dass vergleichbare Schilder auf den Toiletten hängen, wurde abgetan. Da darf man aufhängen was man will. Ich habe den Unterschied nicht verstanden, aber schon damals den Hinweis erhalten, dass man mir keine Rechenschaft schuldig sei. Das MT (ich bin ja kein Verhandlungspartner) hätte mit dem BR sprechen müssen und auch das Angebot persönlich mit ihnen zu sprechen, wurde abgelehnt.
Das Angebot eines persönlichen Gespräches wird ebenso wie die entschuldigende Frage, wie man diese “Verletzung” noch “heilen” kann, ausgeschlagen bzw. gar nicht beantwortet und wenn mit den bereits oben genannten Nettigkeiten.
Ich dachte wirklich, es wäre nur ein Hinweis, eine Erinnerung. Es gibt auch keine Kontrollen und auch keine Strafen, wenn sich jemand nicht daran gehalten hätte - wie auch?